Le contrôle de la conformité au RGPD - compte-rendu de la journée RGPD de la CNIL du 09/04/24 à Lille

Dans un contexte de numérisation de la société, la Commission Nationale de l’Informatique et des Libertés (CNIL) - autorité de contrôle des données personnelles en France - a deux objectifs principaux : apporter de la sécurité juridique et créer de la confiance. En effet, son but est de redonner aux citoyens le contrôle sur leurs données en rendant les systèmes d’information moins opaques et plus transparents. Pour cela, elle a notamment décidé d’organiser des évènements récurrents ayant lieu partout en France, à diverses périodes, pour parler des actualités en droit du numérique : les journées RGPD (journées dédiées au règlement général sur la protection des données - RGPD -, mais pas que !)

Le 9 avril dernier, la CNIL a animé une journée RGPD à Lille, en collaboration avec la Faculté de Droit de l’Université Catholique de Lille et l'Association Française des Juristes d'Entreprise (AFJE). Au programme, plusieurs thématiques ont été abordées, que nous déclinerons sous forme de 4 publications :

• Le droit d’accès et l’encadrement des relations avec les sous-traitants
• L’intelligence artificielle : de la théorie à la pratique
• Le contrôle de la conformité au RGPD
• La gestion des risques cyber

Dans cet article, concentrons nous donc sur le contrôle de la conformité au RGPD.

Le contrôle de la conformité au RGPD : objectifs et modalités d’un contrôle de la CNIL

Grégoire DELETTE, juriste au service des contrôles, affaires économiques, CNIL

Le service des contrôles de la CNIL est divisé en 2 équipes :

• RH, santé, affaires publiques : santé / assurance maladie, social, travail, éducation, collectivités locales / territoriales, partis politiques, associations, police, défense, justice, vidéoprotection, vidéosurveillance, finances publiques, culture, vote électronique
• Affaires économiques : commerce, télécoms / internet, banque, assurance, énergie, jeux, sports, transports, immobilier, presse, tourisme

Au total, environ 120 agents de la CNIL sont habilités à faire des contrôles, pouvant être effectués aussi bien en ligne, sur pièce, sur place que sur audition (345 contrôles ont été effectués en 2022).

S’agissant de l’origine de ces contrôles, ils ont 4 sources, dont 2 essentielles :

• 47% sont issus d’une initiative de la CNIL (suite à un fait de presse notamment)
• 43% sont issus de plaintes ou signalements (non-respect des droits notamment pour la prospection commerciale, défaut de mesures de sécurité notamment HTPP sans le S)
• 5% sont issus des thématiques prioritaires de la CNIL (pour 2024 les thématiques prioritaires de la CNIL sont les suivantes : collecte de données dans le cadre des JO et paralympiques, données des mineurs collectées en ligne - suite à l’arrêt Tiktok l’année dernière -, programmes de fidélité et tickets de caisse dématérialisés, droit d’accès des personnes concernées - programme commun entre les “CNIL européennes”)
• 3% sont issus du suivi d’une mesure correctrice

Les DPO jouent un rôle majeur pour la mise en conformité RGPD et dans les contrôles de la CNIL et de ses équivalentes européennes. Bien que leurs méthodologies soient différentes selon les secteurs et pays, des constats plutôt mitigés sont partagés… Notons d’abord l’insuffisance des ressources (temporelles, humaines, financières) - un constat qui n’a pas disparu alors que ça fait plus de 6 ans que le RGPD est entré en application. Également, notons le manque de qualification et formation du fait de la prolifération de régulations - qui plus est sur des sujets complexes et évolutifs - mais aussi le manque de considération du sujet par les organismes soumis au RGPD : nombreux sont ceux qui ne prennent pas en compte la conformité - de manière générale - tant qu’ils ne sont pas soumis à un contrôle.

Comment se déroule un contrôle sur place ?

Un contrôle sur place a plusieurs caractéristiques : il est inopiné, a lieu sur tout le territoire français, dure généralement une journée et peut avoir lieu suite à une ordonnance du juge des libertés et de la détention (JLD) lorsque la CNIL est face à une opposition ou qu’elle soupçonne que des preuves vont être détruites.

Lors de l'arrivée sur le lieu du contrôle, il y a plusieurs actions qui doit être faites par les contrôleurs, notamment faire accepter le principe du contrôle - les organismes bénéficiant d’un droit d’opposition -, identifier un point de contact pour la journée, informer le responsable des lieux de ses droits et des pouvoirs des contrôleurs, et planifier le déroulement de la journée. Généralement, des questions générales sur le fonctionnement de l’organisme sont posées (ex : vérification du panneau de vidéosurveillance), des entretiens avec les opérationnels métier (DSI notamment) ont lieu et des constats sur les outils opérationnels (CRM, bases de données etc.) sont dressés. Les organismes doivent coopérer avec les agents de la CNIL, néanmoins, des limites existent avec le respect du secret des sources (dans le domaine journalistique), le respect de la confidentialité des échanges entre un avocat et son client et enfin le respect du secret médical - sauf si le contrôleur est accompagné d’un médecin. Lors de cette journée de contrôle, les agents de la CNIL remettent une synthèse de la charte des contrôles de la CNIL - document élaboré par la CNIL depuis septembre 2021 - à l’organisme contrôlé, et rédigent en fin de journée un procès-verbal de contrôle qui sera relu par l’organisme puis signé.

Après le contrôle, commence la phrase d’instruction où les agents vérifient et analysent l’ensemble des éléments recueillis et peuvent effectuer des demandes de pièces complémentaires si besoin - l’organisme pouvant d’ailleurs présenter de façon proactive toutes les mesures mises en place suite au contrôle durant la phase d’instruction - voire même diligenter un nouveau contrôle.

Contrairement au contrôle, la phase d’instruction dure plusieurs semaines, voire plusieurs mois, car il peut y avoir plusieurs contrôles en même temps, des coopérations nécessaires entre les “CNIL européennes” mais aussi des discussions sur des points bloquants. À la suite de cela, sur la base du procès-verbal et de l’exploitation des pièces recueillies, la Présidente de la CNIL décide de la suite soit via un simple courrier de clôture, avertissement, rappel aux obligations légales ou mise en demeure (éventuellement publique), soit avec la désignation d’un rapporteur auprès de la formation restreinte en vue d’une sanction (amende administrative et/ou injonction(s)) - notons par ailleurs que si des manquements qui ne concernent pas le RGPD sont constatés, ils seront transmis aux organismes concernés et compétents (ex : DGCCRF pour la fraude).

Focus sur la procédure de sanction simplifiée

La loi n°2022-52 du 24 janvier 2022 a créé la procédure de sanction simplifiée en cas de faible gravité de l’affaire ou de jurisprudence établie ou de simplicité des questions à trancher. Dans ce cas, le président de la formation restreinte ou l’un de ses membres statue seul (contrairement à la procédure de sanction ordinaire) et peut prononcer un rappel à l’ordre, une injonction de mettre en conformité le traitement ou une sanction pécuniaire plafonnée à 20 000 euros avec astreinte à 100 euros par jour de retard.

En 2023, 24 sanctions simplifiées ont été adoptées, avec un total de 229 500 euros d’amende. Les principaux manquements retenus sont le défaut de coopération avec la CNIL (avec notamment l’absence de réponses à ses sollicitations) ou encore la sécurité des données (protocole http, manque de robustesse des mots de passe ou leur stockage en clair, etc.). Notons d’ailleurs que sur ces 24 sanctions, 17 sont issues de plaintes dont 8 faisaient suite à une absence de réponse à un droit d’opposition ou à un droit d’accès - ce qui fait écho à l’une des thématiques prioritaires de la CNIL pour 2024 : le droit d’accès.

Retour d’expérience : être contrôlé par la CNIL

Quatre étapes essentielles.

1. Se préparer au contrôle alors qu’il est encore inexistant

Ici, il s’agit de sensibiliser et de préparer le personnel à un contrôle. Pour cela, des fiches réflexes peuvent être produites, notamment à disposition des agents d’accueil, car ils constituent le premier contact avec la CNIL le jour du contrôle. Également, il est préférable d’identifier les interlocuteurs qui devront répondre aux contrôleurs (ex : le DSI, les chefs de projet, etc.) et de les sensibiliser : identifier les questions qui pourront leur être posées, les réponses attendues et les suites possibles, en essayant d’avoir des réponses claires et cohérentes, le but étant de ne pas être démuni le jour J.

“Si on nous demande si on a l’heure, on répond oui ou non, on ne répond pas l’heure qu’il est : il faut savoir répondre aux questions qui sont posées.”

Céline PETIT, DPD externalisée, Data Need Advice

Autres bons réflexes : auditer son site web - pour se prémunir contre un contrôle en ligne - ou encore anticiper la documentation qui va être demandée (registre des activités de traitement en tant que responsable de traitement, en tant que sous-traitant - si applicable -, charte informatique, PSSI, APID réalisées - si applicable là encore -, etc.) et s’assurer de sa bonne complétude. Il est également possible de sensibiliser les équipes en réalisant un contrôle fictif, où le DPO devra analyser le périmètre du contrôle fictif, assister le responsable de traitement dans le choix des opérationnels qui seront en capacité de répondre aux contrôleurs de la CNIL puis préparer une liste de questions, se mettre tous ensemble dans une salle de réunion et y répondre, avec production d’un rapport avec les mises en conformité nécessaires.

Autre possibilité à toutes ces actions internes : faire appel à un cabinet externe, notamment lorsque des signaux faibles existent (nombreuses demandes d’exercice des droits, thématiques prioritaires de la CNIL…). Se préparer permet certes de sensibiliser les acteurs, mais surtout de dédramatiser le contrôle le jour où il arrivera.

2. Se préparer au contrôle lorsqu’il est avéré

Pour se préparer en cas de contrôle avéré, il est recommandé tout d’abord de vérifier que le contrôleur est bien habilité à contrôler - la CNIL communique une liste - et de se renseigner sur la thématique sur laquelle le contrôle va porter (RH, sécurité, etc.). Néanmoins, la CNIL peut ne prévenir l’organisme que la veille du contrôle, ce qui rend cette organisation préalable compliquée.

”On a d’abord cru à un canular, on a demandé une confirmation écrite et on l’a eu.”

Jean-Luc TESSIER, DPD - Université de Lille, qui a été appelé par la CNIL pour informer qu’il allait être contrôlé le lendemain de cet appel.

Contrairement au contrôle sur place, le contrôle sur convocation - dans les locaux de la CNIL - offre plus de temps à l’organisme convoqué pour se préparer (identification des personnes concernées et organisation diverse), mais également plus de temps pour stresser.

3. Subir le contrôle

Lorsque le contrôle a lieu, il faut être en capacité de maîtriser la réponse à fournir aux auditeurs de la CNIL et de réunir les bons interlocuteurs.

“On a commencé à 4 dès la première heure, on a fini à 15 à midi autour de la table.”

Edouard VERBECQ, avocat associé et DPD - cabinet Mayance

La CNIL commence par une explication du déroulé de la journée : il n’y a pas de piège, elle est là pour vérifier la conformité. Le contrôle part du macro au spécifique avec des questions sur l’existence du registre des activités de traitement, sur la réalisation d’AIPD, le cas échéant sur quel(s) sujet(s), sur les durées de conservation définies et leurs mises en œuvre, etc. Un véritable système d’entonnoir.

Attention cependant à ne pas se laisser déstabiliser par les auditeurs qui ne laissent rien paraître, bien que leur caractère neutre n’ait pas d’incidence sur la suite. Aucun commentaire ne serait fait s’il y a une inconformité ou non : celle-ci sera découverte lors du procès-verbal.

4. Finir le contrôle

Lorsque le contrôle dure une journée - ce qui arrive, on l’a vu, le plus souvent -, il y a une phase de constatation, généralement l’après-midi pour que les contrôleurs rédigent le procès-verbal de contrôle. Ensuite, le directeur général est convoqué pour le relire (vérification d’éventuels problèmes de compréhension, de fautes, erreurs, etc.) et le signer, et si jamais une erreur est constatée après sa signature, un dialogue avec la CNIL sur le sujet est toujours possible - présence notamment d’une plateforme de dépôt de fichiers si besoin.

Speakers :

• Martine BOUTE, déléguée régionale AFJE Hauts-de-France
• Céline PETIT, DPD externalisée - Data Need Advice
• Jean-Luc TESSIER, DPD - Université de Lille
• Edouard VERBECQ, avocat associé et DPD - cabinet Mayance